目前，各种迹象都表明，全球IT外包趋势还将持续升温。《信息周刊》美国版对500名企业高管的调研显示，2/3的受访者都在采用离岸外包。有了成功的外包经验之后，企业现在已敢于将比较敏感的IT或业务处理工作转移到海外进行。商业技术经理们最大的顾虑之一是数据的安全性，这里我们就谈一谈在与离岸合作伙伴加深合作关系时，有哪些重点的领域需要关注。
　　
　　首先，我们要提醒刚开始离岸外包的企业，在数据问题上任何时候都不能放松警惕。转移到海外的数据与企业自行存储的数据面临着相同的基本风险，这包括内部盗窃、外部入侵、不慎遗失以及企业间谍等等。由于离岸数据具有一定的敏感性，而各国在这方面的法律标准有所不同，因此数据在海外丢失所带来的问题很有可能会被放大。
　　
　　离岸数据外包带来的安全顾虑并非完全与所谓的排外情绪有关。外包商所在国的与数据和知识产权相关的法律很可能和企业所在国的法律大相径庭。例如，顾能公司(Gartner)就给各国的数据和知识产权保护法进行了评估，在去年11月该公司公布的一系列报告中，印度获得的评级是“良好”，巴西是“一般”，墨西哥是“优秀”，而中国则是“较差”。除了法律本身的不同之外，各国在执法程度方面也可能出现很大差距。美亚博国际律师事务所(MayerBrown)的律师布拉德?彼得森(BradPeterson)向我们讲述了关于某家美国公司的故事。这家公司在印度为了打击对手盗窃知识产权的行为，花费了200余万美元打官司。最后，它在所有级别的法院审判中都赢得了诉讼，但是那家对手公司却仍然逍遥法外，盗来的产权依旧照用不误。因此，无论是在哪个国家外包数据，企业都应该全盘考虑相应的利益和缺点。企业不仅应当在外包合同中将安全标准和法律追索等问题写清楚，更要在技术和物理控制等前线阵地上建立坚固的防御体系。
　　
　　安全认证
　　
　　声誉卓著的大型外包商都拥有各种各样的认证(如ISO27001)向你展示，但这并不意味着你就可以放松警惕。有时候，也许小公司反而能够提供更专业和更具针对性的服务。
　　
　　ISO27001认证主要考察的是公司对信息安全实践和控制进行的记录和跟踪。企业不仅应当参考审核员的结论，看看自己最看重的某些安全控制是否囊括在认证体系之中，还应当对负责审核的机构进行调查，以确保其公正透明。此外，企业还应该了解外包商是否遵循了业界的最佳实践以及企业自身所在国的法规条例。比如说，在医疗保健方面，美国有健康保险可携性及责任法(HIPAA)，在信用卡数据方面，又有支付卡行业标准(PCI)，外包商是否能真正符合这些要求?
　　
　　在支付卡行业标准下，企业必须确保其雇用的第三方遵守要求。在与离岸外包商合作时，最容易忽视的领域是访问控制和网络分段(networksegmentation)。由于离岸外包商通常都会为多家客户提供服务，因此企业必须百分之百确保在外包商的行政体系中有专门负责自己数据的团队，以保证数据的隐私。
　　
　　在制订安全控制策略时，企业必须花时间仔细评估数据的类别及来源。美国何威律师事务所(Hunton&Williams)的伦敦律师布雷吉特?特雷西(BridgetTreacy)建议客户采用欧盟的数据隐私要求，因为这可算得上是最严格的要求了。美国的企业可通过选择安全港协议(SafeHarbor)来达到欧盟的要求。
　　
　　转包商是数据外包隐私和合规性面临的又一风险。如果你的离岸合作伙伴使用了第三方公司，那你一定要确保该转包商也受到了严格的审核。